詐騙無所不在 如何保障傳銷商及消費者個資安全

通常直銷業者會將系統建置與維護委託給系統商即資訊服務業者進行，或甚至自行維運。若資安能力不足或個人資料管理不當，則將有高度可能發生個人資料外洩事件，對此政府研擬若干專案，強調個人資料保護係業者及政府責無旁貸的任務。

有關個人資料保護規範，直銷業者應注意「個人資料保護法」、「個人資料保護法施行細則」，以及「多層次傳銷業訂立個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」等有關於個人資料保護適當安全措施之相關規範。以下分別就「直銷業者自行維運電子商務平台」及「直銷業者委託資訊服務業者維運電子商務平台」之案型，分別簡述各自在個人資料保護規範下之義務，以及實際執行之可能作法。

直銷業者自行建置、維運電子商務平台

如電子商務平台係由直銷業者所自行建置及維運，除依個人資料保護法第27條應採行適當安全措施，相關資訊安全措施，包括規劃階段之「配置管理之人員及相當資源[2]」、「界定個人資料之範圍[3]」、「個人資料之風險評估及管理機制[4]」、「事故之預防、通報及應變機制[5]」，以及實際執行時之「個人資料蒐集、處理及利用之內部管理程序[6]」、「資料安全管理[7]及人員管理[8]」、「認知宣導及教育訓練」、「設備安全管理[9]」、「資料安全稽核機制[10]」、「使用記錄、軌跡資料及證據保存」、「個人資料安全維護之整體持續改善」等安全維護措施。

直銷業者亦應注意「多層次傳銷業訂立個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」有關電子商務服務[11]系統之資訊安全措施之特別規定，該規定於2022年3月份新增相關之資訊安全措施，包含「使用者身分確認及保護機制」、「個人資料顯示之隱碼機制」、「網際網路傳輸之安全加密機制」、「個人資料檔案及資料庫之存取控制與保護監控措施」、「防止外部網路入侵對策」、「非法或異常使用行為之監控與因應機制」等，如有違反者，其將面臨新台幣2萬元至20萬以下罰鍰之行政責任[12]。

針對上述適切的安全維護措施，建議業者可以「文件化記錄」方式，記錄各該措施之規劃與執行情形，若不幸發生資安事件，可藉由留存之文件，快速找到資安漏洞或事件成因，做為責任釐清及個人資料維護計畫之改善參考。

直銷業者委託資訊服務業者維運電子商務平台

依個人資料保護法第4條規定，若受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託機關。易言之，當直銷業者委託資訊服務業者建置、維護系統時，若有涉及個人資料的蒐集、處理及利用，該資訊服務業者如有違法，則其於個人資料保護法之適用上，視同直銷業者，也就是說直銷業者可能因為由於資訊服務業者所致的個資外洩事件負擔法律責任[13]。因此，依照個人資料保護法施行細則第8條第一項，委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督。

從上述見解可以知悉，雖然系統係委由第三人營運，但是直銷業者仍需負擔個人資料保護法之責任，因此該電子商務平台應同時符合個人資料保護法及「多層次傳銷業訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」之規範，不會因為委託第三人蒐集、處理及利用個人資料即可免除相關責任。

現行實務常見的方式是藉由契約約定責任分攤或約定以定期或不定期稽核之方式，要求受託維運電子商務平台之系統商應確保其所提供之系統符合上述個人資料保護規範之要求。

綜上所述，對於透過電子商務平台增加銷售額之直銷業者，無論係自行建置或委託系統業者代為管理電子商務平台，都應遵守「個人資料保護法」、「個人資料保護法施行細則」，以及「多層次傳銷業訂立個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」等規範，並建立適切之安全措施，避免個人資料被竊取、竄改、毀損、滅失或洩漏，不會因為將相關個人資料蒐集、處理及利用事宜委託他人而可免除相關責任。

電子商務平台之興起，除了感嘆日益科技的進步所帶來的便利，吾人亦應對日新月異之駭客行動與資訊安全攻擊事件有所警惕。建議業者應對相關資訊安全之風險有所管控，透過計畫（Plan）、執行（Do）、查核（Check）、行動（Act）即「PDCA循環式管理」之方式，規劃、執行及改善個人資料保護計畫，是直銷業者以電子商務平台作為銷售管道之重大課題。

常見手法是詐騙集團成員利用退款問題或訂單異常等問題，向消費者確認消費行為細節以降低消費者戒心，進而導引消費者匯款至其指定帳戶，導致消費者陷入錯誤而導致財損。